|
[求助]关于远程线程调用的问题
请问是什么意思呢?它用于创建的是一个系统函数,这个函数跟进去看不到任何东西: [code] 733936EB FF75 0C PUSH DWORD PTR SS:[EBP+C] 733936EE 8BCB MOV ECX,EBX 733936F0 C645 FF 01 MOV BYTE PTR SS:[EBP-1],1 733936F4 57 PUSH EDI 733936F5 E8 9B010000 CALL MSVBVM60.73393895 ; 创建线程 733936FA 85C0 TEST EAX,EAX 733936FC 8945 08 MOV DWORD PTR SS:[EBP+8],EAX 733936FF 0F8C 5BB40100 JL MSVBVM60.733AEB60 73393705 807E 01 00 CMP BYTE PTR DS:[ESI+1],0 73393709 0F85 95B40100 JNZ MSVBVM60.733AEBA4 [code] 就是上面的那个call,如果在call的下一行下断,再看任务管理器,就会出现新进程和原进程同时存在,而且两个进程的线程数都是1,好像没有创建辅助线程一样。而再用od附加那个新的进程就会直接停在这个位置: [code] 7C92120F C3 RETN 7C970010 /EB 11 JMP SHORT ntdll.7C970023 7C970012 |90 NOP 7C970013 |90 NOP 7C970014 |90 NOP 7C970015 |90 NOP 7C970016 |90 NOP 7C970017 |33C0 XOR EAX,EAX 7C970019 |40 INC EAX 7C97001A |C3 RETN 7C97001B |90 NOP 7C97001C |90 NOP 7C97001D |90 NOP 7C97001E |90 NOP 7C97001F |90 NOP 7C970020 |8B65 E8 MOV ESP,DWORD PTR SS:[EBP-18] 7C970023 \834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF 7C970027 6A 00 PUSH 0 7C970029 E8 6D140100 CALL ntdll.RtlExitUserThread [code] 第一次暂停就停在retn,单步就走到了这个jmp的位置,中间没有任何的call和其他的调用,请问我应该怎么中断在新线程中呢? |
|
[求助]关于远程线程调用的问题
不是的、我直接从它的GUI窗口上点退出的,当然里面的退出调用的API是 ntdll.RtlExitUserThread,我也试过跟到这一步,这样新进程就会退出,弹出的rtcMsgBox也就退出了。并且如果将程序载入od后取消所有断点然后F9,原进程会直接运行到退出,并不等待任何由它创建的这个新进程给出任何的反馈信息就直接终止了这个原进程的。 |
|
[求助]关于远程线程调用的问题
说的不通顺是因为我也不知道它到底干了什么,我能确定的是最后出现的是一个新的进程,但是我之所以说创建线程是因为在原代码中看到的是GetCurrentThreadId,还有一个是PostThreadMessageA,而VB(程序是VB的)中的跟创建进程相关的API都没有看到所以上面才说的有点乱,但是最后出现的是一个进程,因为能在进程管理器中查看到,原进程时CrackMe.exe,新进程是Crack Me,也确实是可以用od附加的 |
|
[求助]od提示进程终止但程序仍在运行
请问这种情况的话调用的API是什么呢?创建的远程线程在进程管理器里面能看到么? |
|
[求助]od提示进程终止但程序仍在运行
如果在对话框创建完成后关闭od对它一点影响都没有,该怎么用还是怎么用,就好像创建完对话框以后程序跟踪流程就完全丢了一样。。。 |
|
[求助]od提示进程终止但程序仍在运行
呃!!确实有很大的可能啊!可是对于mov我只能步过啊mov指令又不能跟进。。。那请问这个时候是不是需要去追SEH呢? |
|
[求助]od提示进程终止但程序仍在运行
不是的呢、冰刃显示的消息抓取和进程列表都没有相关的进程、而且od里面我一步步跟过去都不存在CreateProcess一类用来创建进程或者线程的API,所以我觉得应该不是这个原因。之所以跟丢主要还是在上面说到的两个mov不知道为什么一个跳转一个退出了。。。请问还有别的可能么? |
|
[求助]一个关于内存映像的小问题
刚刚成功搞定了这个程序,但是还是碰到了一个不懂的问题,请问下这样分配出来的堆区域属性为RW,是不是只是对这一个分配函数以及后面紧跟着往里面释放代码的地方可写呢?因为我开始尝试着在最后一个关键call之前用SMC补丁,但是提示的是od无法处理的异常,应该是无法写入的问题,所以最后我是在这块堆区刚刚分配好并且让程序往里面添加了代码之后还没返回之前就使用SMC最后才成功的。请问这块堆是不是并非全局可写的? |
|
[求助]一个关于内存映像的小问题
那么请问有可能在堆中执行一段代码么?前几天也碰到了这样一个问题,是一个call之后才出现的区段,按您这么说的话确实就很可能是堆栈区段了,那么这样的程序有没有可能是在call里面将一段原本加密或者存放成了数据的代码放在了堆中然后跳转过去执行呢?现在想想这种可能蛮大的。但是这个程序的关键call就在这个堆的可执行代码中,没法进行直接的爆破,这样的程序是不是只能找到存放代码数据的地方直接二进制修改、或者追码或注册机了呢? 还有就是想问一下同样是上面提到的那个程序,有人提出的破解方法是将线程内的代码提取到线程外去执行,请问这是什么意思? |
|
[必读]新人导航和报到贴(报到时勿另发帖)
看雪新人来报到了!过不了多久就能成大神的、一定! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值